LastPass di nuovo sotto attacco: il terzo colpo in dieci
Chi utilizza LastPass ha probabilmente letto l’ennesima comunicazione di emergenza della piattaforma di password management. Stavolta il problema arriva da un posto inaspettato: non dalla cassaforte digitale stessa, ma da una società partner esterna che gestisce ricerche di mercato. È un dettaglio che cambia tutto, perché ci ricorda quanto la sicurezza online sia una catena, e basta un anello debole per far crollare tutto.
La fonte del guaio è Klue, una piattaforma di market research integrata con i sistemi di Salesforce e Gong già utilizzati da LastPass. Attraverso questa interconnessione tra sistemi, gli attaccanti hanno tirato fuori informazioni tutt’altro che banali: nomi, numeri di telefono, indirizzi email e fisici dei clienti, insieme a dettagli su ticket di supporto e attività commerciali. Non sono password cifrate o vault compromessi – per questo possiamo tirare un respiro di sollievo – ma dati grezzi, poco protetti, esattamente quello che serve ai truffatori per costruire campagne di phishing credibili e campagne di social engineering mirate.
Quando LastPass ha capito cosa stava succedendo, ha fatto le mosse che ci aspettiamo: ha bloccato gli accessi dei propri dipendenti verso Klue, ha avvertito le autorità, ha lanciato un’indagine e ha persino reso pubblici gli indirizzi IP e i domini email degli attaccanti, affinché le aziende clienti potessero scavare nei propri log di sistema alla ricerca di tracce sospette. L’avvertimento che accompagna tutto questo è diretto e inequivocabile: se ricevete messaggi che sembrano venire da LastPass o dai suoi partner e vi chiedono di cliccare su link, trattateli come se fossero riusciti a mimetizzarsi perfettamente. Perché probabilmente lo sono.
Il dato che pesa davvero, però, è un altro. Non è la prima volta che questo accade. Nel 2015 finirono in mano ai criminali gli hash delle password e i salt crittografici. Nel 2022 un attaccante ha compromesso un account di uno sviluppatore e da lì si è fatto strada fino ai backup cloud, dove ha trovato vault cifrati ma anche dati personali lasciati senza protezione. Ora arriva il terzo incidente in poco più di dieci anni. Non è sfortuna. È un pattern che merita attenzione.
Il settore dei password manager è naturalmente un bersaglio di primo ordine per qualsiasi criminale che conosca il valore di una mossa ben piazzata. Se riesci a violare il custode delle credenziali, in teoria puoi spalancare le porte a migliaia di account contemporaneamente. Per questo la sicurezza non è negoziabile. E la fiducia degli utenti, in un servizio di questo tipo, non si costruisce in settimane. Si costruisce nel tempo, attraverso la coerenza, l’assenza di sorprese spiacevoli, la trasparenza quando qualcosa va storto. Tre breach in un decennio non aiutano certo a mantenerla intatta.
Chi in Italia gestisce credenziali sensibili attraverso LastPass dovrebbe fare una valutazione onesta: non solo sulla sicurezza tecnica del vault stesso, che per fortuna questa volta è rimasto intatto, ma sulla fiducia che ripone nell’intero ecosistema di servizi correlati. Perché la vera lezione di questo ennesimo incidente è che la sicurezza non dipende solo da quello che fa LastPass, ma anche da quello che fanno i suoi partner, i loro partner, e così via. Una catena lunga è bella da guardare, ma è anche fragile.
Articolo originale su: SmartWorld.it
